roar

Efter nätattacken – nu måste både användare och utvecklare ta sitt ansvar

Så vaknar allmänhet och media yrvaket upp efter ännu en stor hackarattack. Jag syftar förstås på gårdagens nyhet om intrånget mot Bloggtoppen.se och en rad andra sajter – där så många som 180 000 konton kan ha kapats. Det har hänt förut, och kommer med all säkerhet att hända igen. Människors minne är ibland alldeles för kort.

Om du vill ha en bakgrund till det inträffade så kan du till exempel läsa artiklarna på Aftonbladet.se – där du också hittar listan på de knappt 60 sajter som blivit hackade – eller DN.se.

I morse när jag intervjuades i SVT:s morgonsoffa med anledning av det inträffade, så sa programledaren Micke Leijnegard till mig att jag inte verkade särskilt upprörd. Jag skulle snarare säga att det handlar om att jag inte är särskilt förvånad. Sådana här intrång händer ganska ofta – åtminstone ett större varje år.

Inte mycket har hänt senaste 20 åren

Men visst är jag upprörd också. Upprörd över att det inte hänt särskilt mycket sedan 80-talet då jag som anställd på Statskontoret satt och skrev rapporter om lösenord och användar-ID. Den enda egentliga skillnaden är att vi i dag sätter gränsen för minsta längd på lösenord till nio bokstäver, då tror jag att det var sex. Men vi är fortfarande alldeles för okritiska.

Jag tror att många tänker att ”det händer inte mig” och väljer sedan av bekvämlighet namnet på sina barn eller sitt födelsedatum som lösenord.

Så skapar du ett säkert lösenord

Med anledning av hackarattacken mot Sony i våras då över 70 miljoner konton kapades, så bloggade jag om vad man ska tänka på för att skapa ett så säkert lösenord som möjligt. Läs gärna det om ni vill ha tips.

Vad jag inte tog upp då, men som har blivit smärtsamt tydligt i och med gårdagens händelser, är att man aldrig ska ha ett och samma lösenord till alla sina olika konton online. Lyckas någon hacka en sajt där du har ett konto, och du har samma lösenord där som på andra ställen, så är vägen i princip öppen att ta sig in på alla sajter där du har inlogg.

Utvecklare måste ta sitt ansvar

Men allt ansvar hänger inte på användarna. Det är hög tid att utvecklare börjar fokusera på säkerhet när de bygger nya sajter och tjänster, och att de som sitter ute på företagen som beställare av dessa tjänster ställer relevanta krav. Det finns i dag enkla och kända metoder för att täppa igen de sårbarheter som finns i systemen.

I dag sker upphandlingen ofta slentrianmässigt, utan kravställning ur ett säkerhetsperspektiv. Utvecklare av inbäddade system saknar i allmänhet säkerhetstänkande, vilket också tycks gälla webbutvecklare. Görs det överhuvud taget någon säkerhetsgranskning kommer den först när allt är upphandlat, installerat och klart för produktionssättning nästa vecka.

Är det för att det tar lite längre tid – och därmed blir lite mer kostsamt – som säkerheten negligeras? Ibland undrar jag.

Men den lilla kostnaden som de extra timmarna innebär är ingenting mot vad det kostar att ställa något till rätta i efterhand, då skadan redan skett. För mindre företag kan ett intrång som det som skedde i går vara ödesdigert. Förtroendet för sajten skadas bland användarna och annonsörerna drar sig tillbaka. Jimmy Holmlund som driver Bloggtoppen.se sa själv igår att han troligen kommer att lägga ner sajten. Och se på Dataföreningen – det tog ett år för dem innan de var tillbaka på banan efter intrånget för tre år sedan. Att bli utsatt för en hackarattack är en chock, och självklart skadas självförtroendet hos de drabbade.

En lösning kan vara e-legitimationer

.SE kom nyligen med en undersökning som visar att så många som var femte svensk har fått sitt konto kapat. Det här borde inte få hända – efter så många år borde vi ha kommit längre.

Behovet på bättre lösningar för användarna är stort. En sådan möjlig lösning kan vara att ta fram så kallade e-legitimationer. Det borde ligga i både användares, tjänsteleverantörers och näringslivets intresse att byta ut dagens identifiering med lösenord och användarnamn mot säkrare och mer lättanvända e-legitimationer.

Det skulle i så fall innebära att man i stället skaffar sig en identitetshandling hos en särskild utgivare. Därefter räcker det med att du identifierar dig och inga personuppgifter behöver lämnas ut när du ska handla, bli medlem, utnyttja en tjänst och så vidare.

Det kortsiktiga tipset är dock att du nu tar och ser över dina lösenord. Du kan själv testa om de du har eller funderar på att skaffa är tillräckligt säkra på Post- och Telestyrelsens sajt. Det finns också som jag nämnde förra gången verktyg som hjälper dig att hålla reda på dina lösenord.

Läs mer på vår webb:

Etiketter: , , , , , , , , , , ,
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

Ingen har kommenterat artikeln ännu.